Hantera åtkomst till externa molntjänster med tjänstautentiseringsuppgifter

Den här artikeln beskriver hur du skapar ett objekt för tjänstautentiseringsuppgifter i Unity Catalog som gör att du kan styra åtkomsten från Azure Databricks till externa molntjänster. En tjänstautentiseringsuppgift i Unity Catalog kapslar in en långsiktig molnautentiseringsuppgift som ger åtkomst till sådana tjänster.

Tjänstens autentiseringsuppgifter är inte avsedda att styra åtkomsten till molnlagring som används som en hanterad lagringsplats i Unity Catalog eller extern lagringsplats. I dessa användningsfall använder du en lagringsautentiseringsuppgift. Se Hantera åtkomst till molnlagring med Hjälp av Unity Catalog.

Om du vill skapa en tjänstautentiseringsuppgift för åtkomst till Azure-tjänster skapar du en Azure Databricks-åtkomstanslutning som refererar till en Hanterad Azure-identitet och tilldelar den behörigheter för en tjänst eller tjänst. Sedan refererar du till anslutningsappen i definitionen för tjänstautentiseringsuppgifter.

Innan du börjar

Innan du skapar en tjänstautentiseringsuppgift måste du uppfylla följande krav:

I Azure Databricks:

• Azure Databricks-arbetsytan aktiverad för Unity Catalog.

• CREATE SERVICE CREDENTIAL behörighet på Unity Catalog-metaarkivet som är kopplat till arbetsytan. Kontoadministratörer och metaarkivadministratörer har den här behörigheten som standard. Om din arbetsyta aktiverades automatiskt för Unity Catalog har arbetsyteadministratörerna även den här behörigheten.

  Kommentar

  Tjänstens huvudnamn måste ha rollen kontoadministratör för att skapa en tjänstautentiseringsuppgift som använder en hanterad identitet. Du kan inte delegera CREATE SERVICE CREDENTIAL till ett huvudnamn för tjänsten. Detta gäller för både Azure Databricks-tjänstens huvudnamn och Microsoft Entra ID-tjänstens huvudnamn.

I din Azure-klientorganisation:

• En Azure-tjänst i samma region som den arbetsyta som du vill komma åt data från.
• Rollen Deltagare eller Ägare i en Azure-resursgrupp.
• Rollen Ägare eller Administratör för användaråtkomst Azure RBAC för tjänstkontot.

Skapa en tjänstautentiseringsuppgift med hjälp av en hanterad identitet

Om du vill konfigurera den identitet som ger åtkomst till ditt tjänstkonto använder du en Azure Databricks-åtkomstanslutning som ansluter en Hanterad Azure-identitet till ditt Azure Databricks-konto. Om du redan har definierat åtkomstanslutningsappen kan du gå vidare till steg 2 i följande procedur.

1. I Azure Portal skapar du en Azure Databricks-åtkomstanslutning och tilldelar den behörigheter för tjänsten som du vill komma åt med hjälp av anvisningarna i Konfigurera en hanterad identitet för Unity Catalog.

   En Azure Databricks-åtkomstanslutning är en Azure-resurs från första part som gör att du kan ansluta hanterade identiteter till ett Azure Databricks-konto. Du måste ha rollen Deltagare eller högre på åtkomstanslutningsresursen i Azure för att lägga till tjänstens autentiseringsuppgifter.

   I stället för att följa anvisningarna i steg 2: Bevilja den hanterade identiteten åtkomst till lagringskontot, bevilja den hanterade identiteten åtkomst till ditt tjänstkonto.

   Anteckna åtkomstanslutningsappens resurs-ID.

2. Logga in på din Azure Databricks-arbetsyta som en användare som uppfyller kraven som anges i Innan du börjar.

3. Klicka på Katalog.

4. På sidan Snabbåtkomst klickar du på knappen Externa data > , går till fliken Autentiseringsuppgifter och väljer Skapa autentiseringsuppgifter.

5. Välj Tjänstautentiseringsuppgifter.

6. Ange ett autentiseringsuppgiftsnamn, en valfri kommentar och åtkomstanslutningsappens resurs-ID i formatet:

   /subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Databricks/accessConnectors/<connector-name>
   

7. (Valfritt) Om du har skapat åtkomstanslutningsappen med hjälp av en användartilldelad hanterad identitet anger du resurs-ID för den hanterade identiteten i fältet Användartilldelad hanterad identitets-ID i formatet:

   /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>
   

8. Klicka på Skapa.

9. I dialogrutan Tjänstautentiseringsuppgifter som skapats kopierar du det externa ID:t.

   Du kan också visa det externa ID:t när som helst på sidan information om tjänstautentiseringsuppgifter.

10. Klicka på Klart.

(Valfritt) Tilldela en tjänstautentiseringsuppgift till specifika arbetsytor

Som standard är en tjänstautentiseringsuppgift tillgänglig från alla arbetsytor i metaarkivet. Det innebär att om en användare har beviljats behörighet för tjänstens autentiseringsuppgifter kan de utöva den behörigheten från alla arbetsytor som är kopplade till metaarkivet. Om du använder arbetsytor för att isolera åtkomst till användardata kanske du endast vill tillåta åtkomst till en tjänstautentiseringsuppgifter från specifika arbetsytor. Den här funktionen kallas för bindning av arbetsytor eller isolering av tjänstautentiseringsuppgifter.

Ett vanligt användningsfall för att binda en tjänstautentiseringsuppgift till specifika arbetsytor är scenariot där en molnadministratör konfigurerar en tjänstautentiseringsuppgifter med hjälp av autentiseringsuppgifter för ett produktionsmolnkonto, och du vill se till att Azure Databricks-användare använder den här autentiseringsuppgiften för att endast komma åt en extern molntjänst på produktionsarbetsytan.

Mer information om bindning av arbetsytor finns i (Valfritt) Tilldela lagringsautentiseringsuppgifter till specifika arbetsytor och Begränsa katalogåtkomst till specifika arbetsytor.

Binda en tjänstautentiseringsuppgift till en eller flera arbetsytor

Om du vill tilldela en tjänstautentiseringsuppgift till specifika arbetsytor använder du Katalogutforskaren.

Behörigheter som krävs: Ägare av metaarkivadministratör eller tjänstautentiseringsuppgifter.

1. Logga in på en arbetsyta som är länkad till metaarkivet.

2. Klicka på Katalog i sidopanelen.

3. På sidan Snabbåtkomst klickar du på knappen Externa data > och går till fliken Autentiseringsuppgifter .

4. Välj tjänstens autentiseringsuppgifter och gå till fliken Arbetsytor .

5. På fliken Arbetsytor avmarkerar du kryssrutan Alla arbetsytor har åtkomst .

   Om tjänstens autentiseringsuppgifter redan är bundna till en eller flera arbetsytor är den här kryssrutan redan avmarkerad.

6. Klicka på Tilldela till arbetsytor och ange eller hitta de arbetsytor som du vill tilldela.

Om du vill återkalla åtkomsten går du till fliken Arbetsytor , väljer arbetsytan och klickar på Återkalla. Om du vill tillåta åtkomst från alla arbetsytor markerar du kryssrutan Alla arbetsytor har åtkomst .

Nästa steg

• Lär dig hur du visar, uppdaterar, tar bort och ger andra användare behörighet att använda autentiseringsuppgifter för tjänsten. Se Hantera autentiseringsuppgifter för tjänsten.
• Lär dig hur du använder autentiseringsuppgifter för tjänsten i kod. Se Använda autentiseringsuppgifter för Unity Catalog-tjänsten för att ansluta till externa molntjänster.

Begränsningar

Följande begränsningar gäller:

• Databricks Runtime 15.4 LTS innehåller endast Python-stöd.
• SQL-lager stöds inte.
• Vissa granskningshändelser för åtgärder som utförs på tjänstautentiseringsuppgifter visas inte i system.access.audit tabellen. Granskningsinformation om vem som har skapat, tagit bort, uppdaterat, läst, listat eller använt en tjänstautentiseringsuppgift kommer att vara tillgänglig. Se Referens för systemtabellen för granskningsloggar.
• Under förhandsversionen INFORMATION_SCHEMA.STORAGE_CREDENTIALS av tjänstens autentiseringsuppgifter visar (inaktuell) både autentiseringsuppgifter för lagring och autentiseringsuppgifter för tjänsten, och INFORMATION_SCHEMA.STORAGE_CREDENTIAL_PRIVILEGES (inaktuell) visar behörigheter som gäller både för autentiseringsuppgifter för lagring och autentiseringsuppgifter för tjänsten. Det här är ett felaktigt förhandsgranskningsbeteende som kommer att korrigeras och du bör inte vara beroende av att det fortsätter. Du bör i stället använda INFORMATION_SCHEMA.CREDENTIALS och INFORMATION_SCHEMA.CREDENTIAL_PRIVILEGES för både lagrings- och tjänstautentiseringsuppgifter.